1 

 

REFORMA UNIUNII EUROPENE ÎN MATERIA PROTECŢIEI PERSOANELOR FIZICE ÎN TIMPUL PRELUCRĂRII ŞI TRANSFERULUI DATELOR PERSONALE

Rezumat

Conform studiilor întreprinse la nivelul Comisiei Europene, Directiva 95/46/CE privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (încă în vigoare) nu mai corespunde evoluţiilor recente în domeniul metodelor de colectare a datelor, astfel că legiuitorul Uniunii a propus o politică mai cuprinzătoare şi mai coerentă în prezenţa unui regulament general privind protecţia datelor şi a unei directive în domeniul cooperării poliţieneşti şi judiciare în materie penală. Propunerile de reformă ale Uniunii sunt parţial sprijinite de statele membre, însă, în cadrul procedurilor de control parlamentar asupra procesului decizional de la nivelul Uniunii, unele parlamente naţionale au formulat avize motivate, reliefând diferite neajunsuri ale acestora: încălcări ale unor principii, lipsa clarităţii unor dispoziţii, insuficienţa ori inexistenţa unor definiţii, inoportunitatea unor articole etc. Semnificativă este şi jurisprudenţa CJUE în materie, mai cu seamă aceea prin care s-au stabilit relativitatea dreptului la protecţia datelor personale şi conţinutul noţiunii de independenţă a autorităţilor de supraveghere.

Introducere Evoluţiile tehnologice din ultimii ani şi dezvoltarea rapidă a noilor metode de colectare a

datelor au făcut ca reglementările existente în materie să nu mai fie capabile să asigure pe deplin realizarea obiectivelor propuse, cu toate că acestea din urmă şi principiile aplicabile au rămas valabile. Ca atare, legiuitorul Uniunii şi-a propus revizuirea cadrului existent, avansând o serie de modificări în următoarele cinci direcţii: consolidarea drepturilor persoanelor; consolidarea dimensiunii privind piaţa internă; revizuirea normelor de protecţie a datelor în domeniul cooperării poliţieneşti şi judiciare în materie penală; dimensiunea internaţională a protecţiei datelor şi consolidarea cadrului instituţional în vederea unei mai bune aplicări a normelor de protecţie a datelor.

În privinţa consolidării drepturilor cetăţenilor, Comisia a pus accent pe acordul explicit al persoanelor în momentul prelucrării datelor personale, pe instituirea dreptului de a fi uitat, facilitarea accesului gratuit la datele personale şi a portabilităţii acestora. Măsurile cu privire la dezvoltarea pieţei interne vizează în special eliminarea obstacolelor generate de fragmentarea cadrului de reglementare din cele 27 de state membre, prin instituirea de norme unice la nivelul UE, crearea unui ghişeu unic responsabil cu aplicarea legislaţiei şi consolidarea rolului autorităţilor naţionale responsabile cu protecţia datelor.

Prezentăm în continuare cadrul actual de reglementare, conţinutul noilor propuneri legislative ale Comisiei, aspectele critice care reies atât din poziţiile parlamentelor naţionale exprimate în cadrul procedurilor de control al afacerilor europene, cât şi din avizele consultative ale organismelor Uniunii, jurisprudenţa CJUE pertinentă în materie şi, nu în ultimul rând, evoluţiile recente de la nivelul instituţiilor Uniunii.

2 

 

1. Cadrul actual Cadrul Uniunii Europene de reglementare a problematicii protecţiei persoanelor fizice cu

ocazia prelucrării datelor personale este unul mai amplu, excedând domeniile de aplicare a noilor propuneri legislative care fac obiectul acestui studiu. Astfel, sediul materiei se regăseşte atât în dispoziţiile de drept primar (Carta drepturilor fundamentale, Tratatul privind UE, Tratatul privind funcţionarea UE şi Convenţia europeană privind protecţia drepturilor şi libertăţilor fundamentale), cât şi într-o serie de reglementări de drept secundar, mai cu seamă directive şi decizii ale instituţiilor Uniunii, care se completează cu o succesiune de hotărâri ale Curţii de Justiţie a Uniunii Europene, extrem de semnificative pentru înţelegerea domeniului în cauză, dar şi cu normele de tip soft law, respectiv codurile de conduită în materie, existente atât la nivelul statelor membre, cât şi la nivelul Uniunii.

O abordare cronologică a acestor acte ne trimite în primul rând la Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.1 Obiectivul declarat al acestei directive (încă în vigoare) este acela de a crea pentru statele membre obligaţia de a asigura protejarea drepturilor şi libertăţilor fundamentale ale persoanei şi în special a dreptului la viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Aceleaşi act normativ stabileşte însă şi principiul conform căruia statele membre nu pot limita sau interzice libera circulaţie a datelor cu caracter personal între statele membre din motive legate de protecţia vieţii private. În sensul acestei directive, datele personale cuprind toate informaţiile referitoare la o persoană fizică identificată sau identificabilă direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. De asemenea, sintagma de prelucrare a datelor semnifică toate operaţiunile care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. Actul normativ al Uniunii stabileşte în continuare condiţiile generale de legalitate a prelucrării datelor cu caracter personal, enumerând principiile referitoare la calitatea datelor, criteriile de legitimitate a prelucrării acestora, condiţiile de prelucrare a unor categorii speciale de date, categoriile de informaţii care se comunică persoanei vizate, drepturile acesteia din urmă (accesul la date şi dreptul la opoziţie), excepţiile şi restricţiile care pot fi impuse de statele membre. Tot în vederea asigurării condiţiilor de legalitate directiva instituie principiile confidenţialităţii şi al securităţii prelucrărilor de date cu caracter personal, precum şi obligaţia operatorilor de date de a notifica autoritatea de supraveghere. Directiva reglementează totodată principiile aplicabile transferului datelor cu caracter personal către ţări terţe, precum şi condiţiile de derogare de la acestea. Supravegherea modului de aplicare a dreptul intern în materie cade în sarcina unei autorităţi independente, special instituite la nivelul fiecărui stat membru şi înzestrate cu competenţe de investigare, de intervenţie şi de acţionare în justiţie.

                                                            1 JO L 281, 23.11.1995, p. 31.

3 

 

De asemenea, directiva a pus bazele instituirii la nivelul Consiliului Uniunii a grupului de lucru DAPIX2, cu rol în asigurarea schimbului de informaţii între statele membre.

În dreptul intern românesc, Directiva 95/46/CE a fost transpusă prin Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date3, cu modificările ulterioare şi prin Legea nr.102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal4, cu modificările ulterioare.

Pentru ca actul normativ al Uniunii la care ne-am referit anterior să poată fi pus pe deplin în aplicare de către statele membre, mai cu seamă sub aspectul asigurării dreptului la confidenţialitate, legiuitorul european a adoptat, în completarea sa, Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice.5 Aceasta din urmă a abrogat Directiva 97/66/CE cu acelaşi titlu, fără a aduce schimbări majore de conţinut, preferând să adapteze şi să aducă la zi dispoziţiile existente în funcţie de noile evoluţii tehnologice din cadrul serviciilor de comunicaţii electronice. În vederea realizării obiectivelor propuse, Directiva 2002/58/CE vizează, printre altele: armonizarea cerinţelor în materia protecţiei datelor în vederea asigurării liberei circulaţii a datelor şi a echipamentelor şi serviciilor de comunicaţii electronice; alinierea definiţiilor existente la cele noi introduse prin această directivă (noţiuni precum „apel”, „comunicaţie”, „date de transfer”, „date de localizare”); limitarea sferei de aplicare a serviciilor de comunicaţii electronice accesibile publicului şi crearea posibilităţii de derogare pentru centralele analogice; instituirea răspunderii furnizorilor pentru asigurarea securităţii serviciilor şi reţelelor şi a obligaţiei acestora de a informa abonaţii în cazul în care ar exista riscuri în materie de securitate; garantarea confidenţialităţii comunicaţiilor şi interzicerea ascultării sau a altor forme de supraveghere exercitate de terţi; interzicerea utilizării de date cu privire la trafic, cu excepţia celor utilizate în scopul facturării; instituirea dreptului la facturi detaliate; crearea de garanţii pentru abonaţi şi utilizatori în scopul ocrotirii vieţii private în cadrul utilizării serviciilor de identificare a liniilor apelante şi conectate; crearea dreptului de acces la informaţiile de identificare a liniilor apelante pentru a facilita intervenţia serviciilor de urgenţă şi pentru a detecta apelurile răuvoitoare; instituirea de garanţii pentru ca argumentele în favoarea protecţiei datelor personale să nu blocheze piaţa unică şi libera circulaţie a echipamentelor proprii terminalelor.

În dreptul intern românesc, Directiva 2002/58/CE a fost transpusă prin Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice6, cu modificările ulterioare.

                                                            2 Working Party on Information Exchange and Data Protection. În urma intrării în vigoare a Tratatului de la Lisabona acest grup a dobândit caracter permanent, cu posibilitatea de a se întruni în diferite formaţiuni şi subgrupuri. 3 M Of. nr. 790 din 12 decembrie 2001. 4 M Of. nr. 391 din 9 mai 2005. 5 JO L 201 , 31.07.2002, p. 0037 – 0047. 6 M Of. nr.1101 din 25 noiembrie 2004.

4 

 

                                                           

În baza reglementărilor adoptate la nivel naţional ca urmare a transpunerii directivelor menţionate anterior, statele membre adoptaseră legislaţii extrem de neomogene cu privire la păstrarea datelor de către furnizorii de servicii, în vederea prevenirii, cercetării, detectării şi urmăririi penale a infracţiunilor. Aceste acte normative, prin diferenţele juridice şi tehnice create, ridicau obstacole în calea pieţei interne a comunicaţiilor electronice, astfel că legiuitorul Uniunii Europene a considerat oportună armonizarea dispoziţiilor statelor membre privind obligaţiile furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceştia.

Astfel, Directiva 2006/24/CE din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice se aplică datelor cu privire la trafic, datelor de localizare cu privire la persoanele fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau utilizatorului înregistrat. Directiva nu se aplică conţinutului comunicaţiilor electronice, inclusiv informaţiilor consultate în utilizarea reţelelor de comunicaţii electronice, ci numai următoarelor categorii de date: date necesare pentru urmărirea şi identificarea sursei unei comunicaţii; date necesare pentru identificarea destinaţiei unei comunicaţii; date necesare pentru identificarea datei, a orei şi a duratei unei comunicaţii; date necesare pentru identificarea echipamentului de comunicaţie al utilizatorilor sau la ce serveşte echipamentul acestora; date necesare pentru identificarea amplasamentului echipamentului de comunicaţie mobilă. Datele păstrate se transmit numai autorităţilor naţionale competente şi în condiţiile stabilite prin legislaţia naţională. Ele se păstrează pentru o perioadă minimă de şase luni şi maximă de doi ani începând de la data comunicării. Statele membre sunt obligate să ia măsurile necesare pentru ca accesul intenţionat la datele stocate ori transferul acestora să fie pedepsit prin sancţiuni administrative sau penale eficiente, proporţionale şi cu efect de descurajare.

Directiva 2006/24/CE a fost transpusă în dreptul intern românesc mai întâi prin Legea nr.298 din 18 noiembrie 2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Ulterior, acest act normativ a fost declarat neconstituţional prin decizia Curţii Constituţionale nr. 1258 din 8 octombrie 20097, pe motiv că modul în care legea a fost redactată ar fi afectat (chiar şi indirect) exercitarea anumitor drepturi şi libertăţi fundamentale, mai cu seamă dreptul la viaţă intimă, privată şi de familie, dreptul la secretul corespondenţei şi libertatea de exprimare, contrar cerinţelor stabilite de art. 53 din Constituţia României. Obiecţiile Curţii au vizat în principal lipsa unei definiţii pentru sintagma „date conexe”; lipsa clarităţii şi a previzibilităţii cu privire la limitarea exercitării drepturilor şi libertăţilor în cauză; lipsa unei definiţii pentru formularea „ameninţări la adresa securităţii naţionale”; instituirea regulii conform căreia datele cu caracter personal se reţin timp de şase luni de la data interceptării; nerespectarea principiului proporţionalităţii, întrucât legea nu prevedea (cum ara şi firesc) încetarea măsurii de limitare a exercitării drepturilor în momentul dispariţiei cauzei care a determinat luarea acestei măsuri; expunerea abuzivă, în privinţa reţinerii datelor, şi a persoanei care recepţionează mesajul.

 7 M Of. Partea I, nr. 798 din 23 noiembrie 2009.

5 

 

                                                           

Ca urmare a deciziei CCR sus amintite, legea cu pricina şi-a încetat aplicabilitatea, astfel că procedura de punere în aplicare a directivei în materie a fost reluată, iar la 13 iunie 2012 a fost adoptată (cu acelaşi titlu) Legea nr. 82/2012.8 Consiliul Legislativ, prin avizul din 14 decembrie 2011, emis în cadrul procedurii legislative aplicate noii propuneri de lege (acum Legea 82/2012) a atras atenţia că o serie de dispoziţii ale acesteia au reluat ca atare formulările criticate de Curtea Constituţională în decizia sus amintită, fără a aduce modificări substanţiale de natură să înlăture caracterul neconstituţional al vechilor reglementări. Astfel, legea nouă renunţă la sintagma de „date conexe”, înlocuind-o cu „date necesare la identificarea abonatului sau a utilizatorului”, însă lipseşte definiţia cu privire la aceste date, simpla înşiruire a categoriilor de date nefiind suficientă pentru a asigura (în spiritul deciziei CCR) accesibilitatea şi previzibilitatea reglementării. În al doilea rând, reţinerea datelor timp de şase luni rămâne neschimbată, deşi Curtea a argumentat că „reglementarea unei obligaţii pozitive care priveşte limitarea în mod necontenit a exerciţiului dreptului la viaţă intimă şi la secretul corespondenţei face să dispară însăşi esenţa dreptului, prin îndepărtarea garanţiilor privind exercitarea acestuia.” În al treilea rând, este vizată în continuare şi persoana apelată, subiect pasiv în relaţia de intercomunicare, Curtea apreciind că ingerinţa în viaţa privată a acesteia apare ca excesivă. Prin urmare, noua lege cu privire la reţinerea datelor cu caracter personal a avut în vedere transpunerea de urgenţă a directivei în materie, însă legiuitorul român nu a găsit o formulă prin care să înlăture definitiv acele elemente de neconstituţionalitate evidenţiate de Curte. Pe de altă parte, dacă avem în vedere raporturile dintre ordinea juridică a Uniunii şi aceea a statelor membre, putem afirma că decizia Curţii Constituţionale la care ne-am referit anterior a respins, în mod indirect, o directivă a UE pe motiv că aceasta contravine principiilor şi dispoziţiilor cu valoare constituţională, fapt fără precedent în dreptul românesc de până acum.

Tot din amplul cadru legislativ în materia protecţiei datelor face parte şi Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală. Obiectivul acesteia îl constituie „asigurarea unui înalt nivel de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi în special a dreptului acestora la o viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal în cadrul cooperării poliţieneşti şi judiciare în materie penală, prevăzute la titlul VI din Tratatul privind Uniunea Europeană, cu garantarea, în acelaşi timp, a unui înalt nivel de securitate publică.” Decizia-cadru stabileşte principiile de legalitate, proporţionalitate şi scop, arătând că datele personale pot fi colectate de autorităţile competente numai în scopuri specifice, explicite şi legitime în cadrul sarcinilor lor şi pot fi prelucrate doar în scopurile pentru care au fost colectate. Prelucrarea datelor trebuie să fie legală şi adecvată, relevantă şi să nu fie excesivă în raport cu scopurile pentru care au fost colectate. Decizia –cadru defineşte, printre altele: dreptul de acces la date; dreptul de rectificare, ştergere sau blocare; dreptul la compensaţie şi dreptul la exercitarea unei căi de atac. Statele membre pot asigura un nivel mai ridicat de protecţie a datelor personale comparativ cu acela stabilit prin această decizie-cadru. Textul actului legislativ stabileşte totodată şi condiţiile în care autorităţile competente ale statelor membre sunt autorizate să transmită datele personale puse la dispoziţie de alte state membre către autorităţi şi persoane private din cadrul Uniunii. Dacă datele cu caracter personal sunt transferate de un stat membru unui stat terţ ori unor instanţe internaţionale, acestea trebuie să beneficieze de un nivel de protecţie corespunzător.

 8 M Of. nr. 406 din 18 iunie 2012.

6 

 

În dreptul intern românesc, decizia-cadru a fost transpusă prin Legea nr. 238 din 10 iunie 2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice,9cu modificările ulterioare.

Toate dispoziţiile legislative ale Uniunii la care ne-am referit până acum sunt obligatorii pentru statele membre, însă nu trebuie trecut cu vederea nici Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date. În conformitate cu acesta, instituţiile Uniunii Europene sunt obligate să asigure (pentru persoanele fizice) protecţia drepturilor şi a libertăţilor fundamentale, în special dreptul la viaţă privată în ceea ce priveşte prelucrarea datelor personale, precum şi libera circulaţie a datelor în cadrul Uniunii. Regulamentul stabileşte normele generale cu privire la legalitatea prelucrării datelor: principiile referitoare la calitatea datelor; criteriile de legitimitate a prelucrării datelor; categoriile speciale de prelucrare; tipurile de informaţii care se comunică persoanei vizate; drepturile persoanei vizate; excepţiile şi restricţiile; confidenţialitatea şi securitatea prelucrărilor; responsabilul cu protecţia datelor; verificarea prealabilă efectuată de Autoritatea europeană pentru protecţia datelor şi obligaţia de cooperare; căile de atac; protecţia datelor personale şi a vieţii private în contextul reţelelor interne de telecomunicaţii, precum şi instituirea Autorităţii europene pentru protecţia datelor (modul de alegere, independenţa, competenţele şi secretul profesional).

2. Propunerile de reformă

Aşa cum am văzut anterior, cadrul actual de reglementare a ocrotirii persoanelor fizice în timpul prelucrării şi transferului datelor personale este dominat de Directiva 95/46/CE, care a fost ulterior completată de o serie de alte directive, dar şi de către Decizia-cadru 2008/977/JAI, menită să asigure protecţia datelor şi în fostul pilon III: cooperarea poliţienească şi judiciară în materie penală.

În opinia Comisiei Europene, obiectivele şi principiile stabilite de către reglementările actuale rămân valabile, însă punerea lor în aplicare de către statele membre s-a făcut în mod diferit, generând insecuritate juridică şi o percepţie publică generală asupra existenţei unor riscuri majore, legate în special de activităţile online. Ca atare, considerând oportună crearea unui cadru mai solid şi mai coerent în materia protecţiei datelor personale în spaţiul Uniunii, legiuitorul european a avansat două iniţiative legislative:

• o propunere de regulament privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (Regulament general privind protecţia datelor), care vizează înlocuirea Directivei 95/46/CE şi

• o propunere de directivă privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi libera circulaţie a acestor date, care va înlocui Decizia-cadru 2008/977/JAI.

                                                            9 Republicată în M. Of. nr. 474 din 12 iulie 2012.

7 

 

A. Propunerea de regulament instituie regulile cu privire la protecţia persoanelor fizice în timpul procesării datelor cu caracter personal şi regulile referitoare la libera circulaţie a acestor date. În privinţa principiilor cu privire la protecţia datelor personale, elementele de noutate le constituie principiul transparenţei, clarificarea principiului de minimizare a datelor şi instituirea unei responsabilităţi globale a operatorului. Se stabilesc, totodată, criteriile privind legalitatea prelucrării, fiind descrise în detaliu diverse aspecte ale acestora, cum ar fi criteriul privind echilibrul intereselor, precum şi respectarea obligaţiilor juridice şi a interesului public. Propunerea de regulament clarifică şi condiţiile în care consimţământul constituie un temei juridic valabil pentru legalitatea prelucrării şi stabileşte condiţii suplimentare pentru legalitatea prelucrării datelor cu caracter personal ale copiilor în ceea ce priveşte serviciile societăţii informaţionale care sunt oferite direct acestora.

Cu privire la drepturile persoanei vizate, se instituie obligaţia operatorilor de a furniza informaţii transparente,uşor accesibile şi inteligibile, dar şi de a asigura proceduri şi mecanisme pentru exercitarea drepturilor, inclusiv mijloacele pentru adresarea cererilor pe cale electronică, atunci când acestea necesită un răspuns într-un anumit termen ori atunci când se impune motivarea refuzului de a da curs cererii în cauză.

Pe lângă toate acestea, propunerea de regulament:

- stabileşte în sarcina operatorului obligaţia de a furniza (persoanei vizate) informaţii suplimentare cu privire la durata reţinerii datelor, dreptul de a depune o plângere, informaţii cu privire la transferurile internaţionale de date şi sursa de provenienţă a acestora;

- instituie dreptul de acces la datele personale, precum şi drepturile la rectificare, ştergere şi de a fi uitat;

- introduce dreptul la portabilitatea datelor şi dreptul la opoziţie faţă de prelucrarea datelor.

Cu privire la operatori, propunerea de regulament are în vedere aplicarea principiului responsabilităţii, aceştia fiind obligaţi să adopte politici şi să pună în aplicare măsuri adecvate pentru a garanta şi a demonstra că prelucrarea datelor cu caracter personal se efectuează în conformitate cu noul regulament. Aceste măsuri ar trebui să cuprindă: păstrarea documentaţiei; punerea în aplicare a cerinţelor privind securitatea datelor; efectuarea unei evaluări a impactului privind protecţia datelor; respectarea cerinţelor privind autorizarea prealabilă sau consultarea prealabilă a autorităţii de supraveghere; desemnarea unui responsabil cu protecţia datelor.

De asemenea, este introdusă obligaţia desemnării (de către operatorul şi persoana împuternicită) a unui responsabil cu protecţia datelor pentru sectorul public, pentru marile întreprinderi din sectorul privat ori în situaţia în care activităţile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operaţiuni de prelucrare care, prin natura lor, domeniul de aplicare şi/sau scopul lor, necesită monitorizarea periodică şi sistematică a persoanelor vizate.

8 

 

În privinţa transferului de date cu caracter personal către un stat terţ sau către o organizaţie internaţională, propunerea de regulament defineşte criteriile, condiţiile şi procedurile de adoptare a unei decizii de către Comisie pentru stabilirea unui nivel adecvat de protecţie. Atunci când evaluează caracterul adecvat al nivelului de protecţie, Comisia ia în considerare următoarele elemente: principiul statului de drept, existenţa unei căi de atac şi a unui control independent. În situaţia în care Comisia nu adoptă o decizie, transferurile de date pot avea loc numai în baza unor garanţii adecvate, cum ar fi regulile corporatiste şi clauzele standard de protecţie.

Propunerea de regulament obligă statele membre să instituie una sau mai multe autorităţi de supraveghere independente, responsabile cu monitorizarea aplicării noului regulament şi cu asigurarea aplicării uniforme a regulamentului în întreaga Uniune. Pentru aceasta, autorităţile de supraveghere au obligaţia de a coopera atât între ele, cât şi cu Comisia. Totodată, se clarifică condiţiile de garantare a independenţei autorităţilor de supraveghere, prin aplicarea jurisprudenţei Curţii de Justiţie a Uniunii Europene10.

De asemenea, în capitolul cooperare şi coerenţă, se instituie norme explicite privind asistenţa reciprocă obligatorie, inclusive sancţiunile în cazul nerespectării unei solicitări din partea altei autorităţi de supraveghere şi introduce un mecanism pentru asigurarea coerenţei în scopul aplicării uniforme a operaţiunilor de prelucrare a datelor referitoare la persoane vizate în mai multe state membre. În plus, se creează Comitetul european pentru protecţia datelor, alcătuit din directorii autorităţilor de supraveghere din statele membre (o singură persoană/stat membru) şi din Autoritatea Europeană pentru Protecţia Datelor, pentru a înlocui Grupul de lucru pentru protecţia persoanelor instituit prin Directiva 95/46/CE.

Sub aspectul căilor de atac şi al sancţiunilor, propunerea de regulament consfinţeşte dreptul oricărei persoane vizate de a depune o plângere la o autoritate de supraveghere; specifică organismele, organizaţiile sau asociaţiile care pot depune o plângere în numele persoanelor vizate sau, în cazul unei încălcări a securităţii datelor cu caracter personal, independent de o plângere înaintată de o persoană vizată; extinde dreptul la despăgubiri şi asupra prejudiciilor cauzate de operatori; clarifică responsabilitatea operatorilor asociaţi şi a persoanelor împuternicite de către operator; obligă statele membre să definească sancţiunile penale aplicabile infracţiunilor care rezultă din nerespectarea noului regulament.

B. În ceea ce priveşte propunerea de directivă, aceasta se justifică (în opinia Comisiei) în principal prin sfera limitată de aplicare a Deciziei–cadru 2008/977/JAI, întrucât aceasta viza numai prelucrarea transfrontalieră a datelor, nu şi activităţile de prelucrare a datelor desfăşurate de autorităţile poliţieneşti şi judiciare la nivel pur naţional. Ca atare, decizia-cadru conferă dreptului naţional al statelor membre o largă marjă de apreciere în punerea în aplicare a dispoziţiilor sale. În plus, ea nu conţine nici un mecanism de sprijinire a unei interpretări comune a dispoziţiilor sale şi nici nu prevede pentru Comisie atribuţii de punere în aplicare în scopul asigurării unei abordări comune.

                                                            10 Hotărârea în cauza C-518/07din 9.3.2010, Comisia/Germania, ECR 2010, p. I-1885.

9 

 

                                                           

Aşa cum am arătat anterior, propunerea de directivă vizează abrogarea Deciziei–cadru 2008/977/JAI, stabilind regulile cu privire la prelucrarea datelor cu caracter personal în scopul prevenirii, identificării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor. Astfel, propunerea de directivă şi-a stabilit un dublul obiectiv: a) protecţia drepturilor şi a libertăţilor fundamentale ale persoanelor fizice şi, în special, a dreptului acestora la protecţia datelor cu caracter personal, garantând în acelaşi timp un nivel ridicat de siguranţă publică, şi b) asigurarea schimbului de date cu caracter personal între autorităţile competente în cadrul Uniunii.

În privinţa principiilor, o noutate faţă de reglementările actuale o constituie introducerea unei distincţii cât mai clare între datele cu caracter personal ale diferitelor categorii de persoane vizate. De asemenea, se stabilesc criteriile privind prelucrarea legală, în cazul în care este necesară pentru îndeplinirea unei sarcini de către o autoritate competentă, în temeiul legislaţiei naţionale, pentru a respecta o obligaţie legală pe care o are operatorul de date, în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau în scopul prevenirii unei ameninţări imediate şi grave la adresa securităţii publice. Sunt prevăzute în continuare interdicţia generală privind prelucrarea categoriilor speciale de date cu caracter personal şi excepţiile de la această regulă, dar şi interdicţia măsurilor care se bazează exclusiv pe prelucrarea automată a datelor cu caracter personal în cazul în care aceasta nu este autorizată printr-o prevedere legală care oferă garanţii corespunzătoare.

Referitor la drepturile persoanelor vizate, propunerea de directivă introduce obligaţia statelor membre de a furniza informaţii uşor accesibile şi inteligibile, şi de a impune operatorilor să prevadă proceduri şi mecanisme pentru facilitarea exercitării drepturilor de către persoana vizată. Aceasta include cerinţa ca exercitarea drepturilor să fie, în principiu, gratuită. Totodată, se prevede obligaţia statelor membre de a asigura informarea persoanei vizate şi de a asigura dreptul persoanei vizate de a avea acces la datele sale cu caracter personal. Limitarea dreptului de acces rămâne posibilă dacă care acest lucru este necesar pe baza naturii specifice a prelucrării datelor în domeniul poliţiei şi al justiţiei penale, precum şi cu privire la informarea persoanei vizate cu privire la o limitare a accesului. Dispoziţiile cu privire la rectificare, ştergere şi restricţionarea prelucrării datelor în cadrul procedurilor judiciare sunt menţinute şi clarificate în baza reglementărilor actuale.

Cu privire la operator şi persoana împuternicită, propunerea de directivă stabileşte că statele membre trebuie să asigure respectarea de către operator a obligaţiilor care rezultă din principiile protecţiei datelor începând cu momentul conceperii (protection by design) şi protecţiei implicite a datelor (protection by default).11 Noile dispoziţii clarifică poziţia şi obligaţiile

 11 Conceptul de protecţie a datelor începând cu momentul conceperii (protection by design) se referă în principal la necesitatea configurării măsurilor de protecţie a datelor încă din faza de creare a noilor tehnologii, servicii ori a mijloacelor de comunicare sociale. În cadrul acestui concept, accentul se pune pe aplicarea acestor măsuri în timpul etapei de dezvoltare a produsului, astfel încât să nu existe probleme cu privire la protecţia datelor în urma lansării pe piaţă a acestuia. Odată ce un produs a fost pe deplin creat, este mult mai dificil să se corecteze ori să se elimine vulnerabilităţile de securitate. Protection by design devine astfel esenţial[ atât în faza de planificare, cât şi în aceea de construcţie, implicând o achiziţie minimă de date. Protecţia implicită a datelor (protection by default) constă în aceea că punerea în aplicare a măsurilor de protecţie a datelor este asigurată de producătorii de tehnologii, servicii şi mijloace de comunicare socială, care se ocupă, de regulă, cu datele personale. Aspectul crucial al acestui concept îl reprezintă existenţa unei presetări care să fie în favoarea protecţiei datelor oricărui utilizator ori a unei terţe persoane posibil implicate în procesarea datelor. Protecţia implicită are ca punct de plecare un fapt obiectiv, anume necunoaşterea nivelului scăzut de protecţie a datelor de către utilizatorii platformelor sociale de comunicare. Ca

10 

 

                                                                                                                                                                                                

persoanelor împuternicite de către operator, introducând ca noutate faptul că o persoană împuternicită de către operator, care prelucrează date într-un alt mod decât cel prevăzut în instrucţiunile date de acesta, trebuie considerată operator asociat. În acelaşi timp, se stabileşte obligaţia operatorilor şi a persoanelor împuternicite de a păstra documentaţia referitoare la toate sistemele şi procedurile de prelucrare aflate în responsabilitatea lor.

Referitor la securitatea datelor, propunerea de directivă introduce obligaţia de a notifica încălcarea securităţii datelor cu caracter personal şi de a informa, în anumite circumstanţe, persoana vizată.

Se instituie de asemenea obligaţia operatorului de a desemna un responsabil cu protecţia datelor care să îndeplinească sarcinile cuprinse în directivă. În cazul în care mai multe autorităţi competente acţionează sub supravegherea unei autorităţi centrale, care are calitatea de operator, cel puţin această autoritate centrală ar trebui să desemneze un astfel de responsabil cu protecţia datelor.

Transferurile de date către ţări terţe sau organizaţii internaţionale pot avea loc numai dacă acestea sunt necesare în scopul prevenirii, identificării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor. Legiuitorul european stabileşte în plus că transferurile de date către statele terţe pot avea loc pe baza unei decizii a Comisiei cu privire la caracterul adecvat al nivelului de protecţie sau, în absenţa unei astfel de decizii, pe baza instituirii unor garanţii corespunzătoare.

În afara celor de mai sus, propunerea de directivă: defineşte „garanţiile corespunzătoare” necesare transferurilor internaţionale; stabileşte derogările de la transferurile de date; obligă statele membre să se asigure că operatorul informează destinatarul asupra tuturor restricţiilor de prelucrare şi ia toate măsurile pentru ca aceste restricţii să fie respectate de statul terţ sau organizaţia internaţională; stabileşte în mod explicit mecanisme de cooperare internaţională în vederea protecţiei datelor personale între Comisie şi autorităţile de supraveghere din statele terţe.

Autorităţile naţionale de supraveghere se instituie în condiţii similare regulamentului, statele membre fiind obligate să extindă misiunea acestora pentru a contribui la aplicarea uniformă a directivei în întreaga Uniune. O sarcină specială a autorităţilor de supraveghere în contextul directivei este aceea conform căreia, în cazul în care accesul direct este refuzat sau restricţionat, exercită dreptul de acces în numele persoanelor vizate şi verifică legalitatea prelucrării datelor.

Se menţine de asemenea obligaţia generală de cooperare, Comitetul european pentru protecţia datelor fiind însărcinat, în plus, cu activităţile de prelucrare care intră în domeniul de aplicare a acestei directive.

 atare, aceştia nu sunt capabili să-şi protejeze singuri datele personale, motiv pentru care este necesar ca presetarea asigurată de furnizorii serviciilor respective să ofere cel puţin un nivel suficient de ridicat de protecţie. Pentru detalii a se vedea Parlamentul European, Direcţia Generală Politici Interne, Reforming the Data Protection Package, septembrie 2012, accesibil la http://www.europarl.europa.eu/committees/en/studies.html#studies.

11 

 

În capitolul cu privire la căile de atac, răspundere şi sancţiuni, propunerea de directivă stabileşte: dreptul oricărei persoane vizate de a depune o plângere la o autoritate de supraveghere, dreptul organismelor, organizaţiilor şi asociaţiilor de a depune o plângere în numele persoanei vizate şi, în cazul unei încălcări a securităţii datelor cu caracter personal,independent de plângerea înaintată de o persoană vizată; dreptul la o cale de atac împotriva unei autorităţi de supraveghere; dreptul la o cale de atac împotriva unui operator sau a unei persoane împuternicite de către operator; norme comune aplicabile acţiunilor în instanţă; dreptul la despăgubiri.

3. Poziţia României În notele transmise Parlamentului României de către Ministerul Afacerilor Europene se

arată că România susţine adoptarea noului pachet legislativ privind protecţia datelor. Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită (în opinia Guvernului României) nu numai consolidarea şi detalierea drepturilor persoanelor vizate, ci şi a obligaţiilor celor care prelucrează/procesează date cu caracter personal. În mod firesc, acest fapt conduce la o sporire a sarcinilor administrative care revin operatorilor de date cu caracter personal. Guvernul a luat notă de faptul că aceste sarcini administrative suplimentare ar putea îngreuna desfăşurarea activităţilor marilor corporaţii, dar mai ales a întreprinderilor mici şi mijlocii. De aceea, s-a subliniat la nivel guvernamental necesitatea găsirii unor soluţii pentru a asigura un echilibru just între protecţia datelor cu caracter personal şi sarcinile administrative ale operatorilor de date cu caracter personal. Criteriile de care se va ţine seama sunt riscurile legate de procesarea de date, mărimea operatorilor – microîntreprinderi, IMM sau mari corporaţii, precum şi cantitatea de date cu caracter personal procesate/numărul persoanelor afectate.

4. Aspecte critice cu privire la cele două propuneri legislative Analizând conformitatea celor două propuneri legislative cu principiile subsidiarităţii şi

proporţionalităţii, în cadrul procedurilor de control parlamentar asupra procesului decizional de la nivelul Uniunii, o serie de state membre au formulat avize motivate, reliefând diferite neajunsuri: încălcări ale unor principii, lipsa clarităţii unor dispoziţii, insuficienţa ori inexistenţa unor definiţii, inoportunitatea unor articole etc. Prezentăm în continuare cele mai semnificative observaţii făcute de camerele legislative ale statelor membre, precum şi recomandările formulate la nivelul unor organisme consultative, cum ar fi Autoritatea Europeană pentru Protecţia Datelor şi Comitetul Regiunilor.

Belgia – Camera Reprezentanţilor Prin avizul motivat din 27 martie 2012, Camera Reprezentanţilor a susţinut alegerea unei directive (în locul regulamentului), un regulament putând fi utilizat doar pentru anumite domenii (de exemplu – schimbul de date cu ţări terţe); prerogativa pe care Comisia Europeană ar urma să o dobândească în a suspenda o decizie a unei autorităţi naţionale a fost apreciată, de asemenea, a fi contrară principiului subsidiarităţii.

Franţa – Senat La 4 martie 2012, Senatul adoptat un aviz motivat privind propunerea de regulament,

ridicând trei obiecţii: necesitatea menţinerii tranzitorii a unor dispoziţii naţionale cu un nivel de protecţie mai ridicat, astfel încât armonizarea de la nivelul UE să nu conducă la o diminuare a protecţiei naţionale; întinderea semnificativă a competenţelor delegate, care ar trebui stabilite în mod direct de către legiuitorul UE (este citat exemplul dreptului de a fi uitat în privinţa mediului

12 

 

informatic); reglementarea „ghişeului unic” (art. 51 din propunere) lipseşte persoanele interesate de posibilitatea tratării plângerii de către autoritatea naţională, generând o asimetrie între acţiunea administrativă exercitată la autoritatea străină şi acţiunea judecătorească împotriva operatorului introdusă în faţa instanţei naţionale, astfel încât, pentru respectarea principiului subsidiarităţii ar trebui favorizată o procedură care să permită persoanelor interesate să se adreseze autorităţii din statul membru în care domiciliază.

Suedia – Riksdag În avizul motivat din 30 martie 2012, Parlamentul a precizat că reglementarea

autorităţilor naţionale şi a amenzilor administrative este mai detaliată decât este necesar pentru atingerea obiectivelor urmărite şi că lasă o marjă prea redusă de apreciere a condiţiilor din fiecare stat membru. Prin atribuirea competenţei de a adopta acte delegate, Comisia Europeană ar urma să dobândească un rol legislativ, rol care în mod normal ar trebui exercitat de către legiuitori şi de către instanţele judecătoreşti. În plus, Parlamentul Suediei preferă adoptarea unei directive în locul unui regulament, fapt ce ar însemna o acţiune cât mai simplă posibil. Regulamentul, prin conţinutul propus, depăşeşte ceea ce este necesar pentru atingerea obiectivelor stabilite, încălcând astfel principiul subsidiarităţii.

În privinţa propunerii de directivă, avizul motivat al Parlamentul Suediei respinge evaluarea făcută de Comisia Europeană, întrucât decizia-cadru pe care propunerea urmăreşte să o abroge a trebuit aplicată în statele membre până la 27 noiembrie 2010, astfel încât era prea timpuriu pentru a extrage concluzii privind efectivitatea actului în vigoare. A fost menţionată şi absenţa unei evaluări independente a impactului în privinţa propunerii. În plus, este posibilă inducerea prin textul propunerii a unui risc între prelucrarea datelor cu caracter personal în cadrul investigaţiilor preliminare şi al urmăririi infracţiunilor şi, respectiv, dreptul penal (material şi procesual) naţional.

Italia – Camera Deputaţilor Avizul Camerei Deputaţilor din 27 martie 2012 relevă o serie de aspecte problematice din

perspectiva conformităţii cu principiul subsidiarităţii. În primul rând, subiectul care face obiectul propunerii de regulament are valenţe de natură constituţională sau, cel puţin, trimite la principiile fundamentale ale regimurilor juridice naţionale. În al doilea rând, punerea în aplicare a criteriilor comune ar putea fi în defavoarea anumitor sisteme de drept naţionale care, la ora actuală, conferă o protecţie mai mare decât aceea cuprinsă în propunere şi prin aceasta riscă să submineze garanţiile deja existente. Ca atare, ar trebui menţionat în mod expres că excepţie fac situaţiile în care dreptul intern este mai favorabil protecţiei datelor personale. De asemenea, atribuirea unor puteri extinse Comisiei Europene prin conferirea, în baza art. 87, a unei depline autorităţi pentru adoptarea de acte delegate pentru aproape toate elementele esenţiale ale propunerii de regulament este contrară principiului subsidiarităţii. Regulamentul este deficitar şi în privinţa definirii unor termeni, cum ar fi sintagma „dreptul de a fi uitat” şi, totodată, nu lămureşte suficient sfera de aplicare a drepturilor şi obligaţiilor cu privire la prelucrarea datelor personale, caracterul general al art. 21 fiind susceptibil de a crea diferenţe în punerea în aplicare la nivelul statelor.

13 

 

Italia - Senat Prin avizul din 3 iunie 2012, Senatul Italiei a stabilit că persoanele ale căror date sunt

accesibile online ar trebui să beneficieze de dreptul de a fi uitat, prin actualizarea acestor date şi aşezarea lor în contextul potrivit. Există de asemenea riscul ca standardizarea să facă ineficiente acele dispoziţii mai favorabile din dreptul naţional, aşa cum este situaţia ghişeului unic. Mai mult, sfera largă a actelor delegate conferite Comisiei pare să depăşească natura actelor delegate prevăzute de art. 290 TFUE. În sfârşit, noţiunea de „securitate naţională” din COM (2012) 10 ar trebui clarificată.

Republica Cehă – Senat În rezoluţia din 24 mai 2012, Senatul Cehiei a ridicat următoarele obiecţii:

• Comisia nu a prezentat argumente suficiente pentru necesitatea adoptării unor norme generale cu privire la protecţia datelor personale în forma unui regulament în locul actualei directive, mai ales că regulamentul nu clarifică şi nu simplifică regulile, lucru necesar pentru o aplicare uniformă în statele membre ale UE;

• este nepotrivită abordarea non-sistematică a Comisiei cu privire la reglementarea protecţiei datelor personale în domeniul cooperării poliţieneşti şi judiciare în materie penală, întrucât directiva propusă înlocuieşte Decizia – cadru 2008/977/JAI care este în vigoare numai de la sfârşitul anului 2010, astfel că nu a fost posibil până acum să se evalueze, în mod obiectiv, impactul acesteia în practică şi să se identifice deficienţele în timpul pregătirii noilor reguli. Pe lângă aceasta, directiva propusă nu se referă şi la alte reglementări în materia protecţiei datelor personale în sfera fostului pilon III; acestea vor fi examinate în timp ce directiva este pusă în aplicare, fapt ce ar determina o reînnoire a legislaţiei în câţiva ani;

• propunerea de directivă încalcă principiul atribuirii de competenţe, consfinţit în art.5 alin.2 TUE, deoarece lipseşte temeiul juridic cu privire la procesarea datelor personale în cadrul procedurilor de urmărire penală fără elemente transfrontaliere, adică în acele situaţii complet intrastatale.

Republica Federală Germană – Bundesrat Prin decizia din 30 martie 2012, Bundesrat-ul a statuat că propunerea de regulament nu este

conformă cu principiul subsidiarităţii pentru următoarele motive:

• propunerea de regulament nu demonstrează suficient necesitatea adoptării unei reglementări obligatorii şi exhaustive la nivelul UE în materia protecţiei datelor în sectoarele public şi privat. Regulamentul propus ar marginaliza total reglementările statelor membre în materie, chiar dacă acestea din urmă conferă garanţii mai mari cu privire la protecţia datelor personale şi un grad mai înalt de securitate juridică în comparaţie cu dispoziţiile mult prea abstracte ale regulamentului;

• din textul propunerii de regulament lipsesc împuternicirile explicite ale adunărilor legislative naţionale de a adopta măsuri concrete, în schimb Comisia este pe deplin împuternicită să adopte acte delegate, depăşind cu mult obiectivul întregii legislaţii europene din domeniul protecţiei datelor personale, dar şi competenţele corespondente care sunt atribuite Uniunii conform art. 16 alin.2 TFUE;

14 

 

• propunerea de regulament încalcă principiul subsidiarităţii prin aceea că prelucrarea datelor personale de către administraţiile publice ale statelor membre nu intră (ca regulă generală) în competenţa legislativă a Uniunii şi, ca atare, ar trebui exclusă din sfera de aplicare a regulamentului. Contrar principiilor subsidiarităţii şi proporţionalităţii sunt şi acele dispoziţii ale regulamentului care interzic garanţiile naţionale suplimentare în materia protecţiei datelor, cu scopul asigurării transferului liber de date;

• propunerea de regulament încalcă principiile subsidiarităţii şi proporţionalităţii şi prin aceea că dispoziţiile cu privire la drepturile Comisiei de a interveni sub egida mecanismului de coerenţă nu sunt compatibile cu independenţa autorităţilor de supraveghere a datelor, conform art. 16 alin.2 par.2 TFUE. Conform jurisprudenţei CJUE, pentru ca autorităţile de supraveghere a datelor personale să fie pe deplin independente ar trebui să se înlăture orice risc de influenţă politică asupra deciziilor acestora;

• adoptarea unui regulament general pentru protecţia datelor, simultan cu o directivă de reglementare a protecţiei datelor de către autorităţile poliţieneşti şi judiciare, ar crea dificultăţi în determinarea dispoziţiilor aplicabile pentru fiecare caz în parte.

Cu privire la propunerea de directivă, Bundesrat-ul a adoptat o decizie similară la aceeaşi dată, subliniind motivele pentru care aceasta nu este conformă cu principiul subsidiarităţii:

• alegerea art. 16 alin.2 TFUE ca temei juridic nu se justifică, deoarece domeniul de aplicare a directivei cuprinde şi prelucrarea datelor în cadrul procedurilor interne, adică schimburile de date pur naţionale între autorităţile poliţieneşti. Or, procedurile de drept penal naţional intră în sfera de aplicare a dreptului Uniunii numai într-un grad limitat, fapt ce ar constitui un impediment în calea armonizării metodelor de prelucrare a datelor pur interne, în cadrul procedurilor de urmărire penală.;

• Uniunea nu este competentă să adopte legislaţie în domeniul măsurilor de securitate care nu au legătură cu infracţiunile;

• este imposibil de identificat valoarea adăugată europeană care ar rezulta din reglementarea uniformă propusă de Comisie; în plus, nu s-a demonstrat că statele membre nu pot asigura un nivel suficient de protecţie a datelor în cadrul autorităţilor poliţieneşti şi judiciare, prin reglementarea unor sarcini şi activităţi adecvate pentru acestea.

Olanda – Senat Prin avizul din 15 mai 2012, Senatul olandez a relevat câteva aspecte critice cu privire la

cele două propuneri ale Comisiei, astfel:

• obligaţia de a păstra documentele nu revine şi întreprinderilor sau organizaţiilor cu mai puţin de 250 de angajaţi şi care desfăşoară o activităţi de prelucrare a datelor subsecvent activităţilor principale; în aceste situaţii factorul decisiv nu ar trebui să fie mărimea întreprinderii, ci scopurile urmărite cu prelucrarea datelor, natura şi

15 

 

volumul datelor personale şi destinatarii acestora. Prin urmare, Senatul a cerut Comisiei să renunţe la această excepţie;

• Comisia ar trebui să lămurească relaţia dintre propunerea de regulament şi propunerea de directivă, să precizeze cu claritate care dintre acestea se aplică mai întâi, de exemplu în situaţia grupărilor de combatere a crimei organizate;

• ar trebui clarificată sintagma „răspundere a operatorului”, având în vedere că în unele state (situaţia Olandei) operatorii datelor personale se bucură de imunitate;

• între regulament şi directivă ar trebui să existe o coerenţă mai mare, lucru posibil prin includerea principiilor şi a definiţiilor în ambele propuneri şi aşezarea lor pe picior de egalitate; de asemenea, operatorul şi împuternicitul ar trebui să aibă aceleaşi obligaţii, cum ar fi obligaţia de a realiza studii privind impactul protecţiei datelor şi de a pune în aplicare protecţia datelor începând cu momentul conceperii (protection by design).

Sintetizând, obiecţiile statelor membre cu privire la compatibilitatea propunerilor legislative ale Comisiei cu principiile subsidiarităţii şi proporţionalităţii s-au referit în principal la:

- domeniile de aplicare a competenţelor legislative ale Uniunii Europene în conformitate cu art.16 alin. (2) din TFUE, care impune limite armonizării depline urmărite tocmai în domeniul prelucrării datelor de către organismele publice;

- insecuritatea juridică creată de absenţa actelor de punere în aplicare ale statelor membre (pentru regulament);

- competenţele Comisiei Europene de a adopta acte delegate cu privire la elemente care au un caracter esenţial;

- lipsa de claritate în ceea ce priveşte domeniul de aplicare al legislaţiei naţionale;

- lipsa armonizării între dispoziţiile prevăzute de regulament pentru viitor şi părţi ample ale dispoziţiilor esenţiale pentru utilizarea internetului conţinute în anumite directive în domeniul telecomunicaţiilor;

- deficienţe în ceea ce priveşte garantarea unei protecţii juridice eficace în cazul unei eventuale încălcări a drepturilor fundamentale, întrucât în această privinţă nu există posibilitatea introducerii a unei acţiuni în faţa Curţii Europene de Justiţie pentru protecţia nemijlocită a drepturilor individuale;

- persistenţa unor conflicte între interesele legate de protecţia datelor şi alte interese protejate de drepturile fundamentale, cum ar fi dreptul la libertatea de exprimare şi principiul accesului public;

- delimitarea neclară între domeniile de aplicare a regulamentului şi directivei Estonia La 3 mai 2012 Parlamentul Estoniei a transmis poziţia oficială cu privire la propunerile de

reformă ale Comisiei, arătând că un regulament exhaustiv şi complex, prin care se deleagă Comisiei Europene diferite competenţe legislative, nu este necesar în vederea asigurării protecţiei datelor personale şi nici liberei circulaţii a acestora. Regulamentul cuprinde o serie de aspecte, cum ar fi schimbul de date transfrontalier şi cooperarea cu statele terţe, care ar trebui într-adevăr

16 

 

să fie reglementate printr-un regulament, însă obiectivele acestuia – protecţia drepturilor şi libertăţilor fundamentale cu ocazia prelucrării şi liberei circulaţii a datelor personale – sunt realizabile mai degrabă printr-o directivă care ar trebui să confere statelor membre o largă marjă de apreciere.

De asemenea, regulamentul deleagă Comisiei competenţe legislative extinse în chestiuni importante, aceasta putând influenţa pe viitor conţinutul şi punerea în aplicare a regulamentului, într-un mod care de regulă aparţine puterii legislative ori instanţelor naţionale. În multe situaţii dreptul de a adopta acte de punere în aplicare ar putea fi conferit statelor membre, deoarece acestea sunt mai în măsură să aprecieze aspectele practice si să ia decizii pentru indivizi din imediata vecinătate a acestora.

În al treilea rând, criteriile delegării pentru adoptarea actelor de către Comisie sunt insuficient definite. Condiţiile de exercitare a drepturilor fundamentale importante (cum este acela legat de protecţia datelor personale) trebuie să fie reglementate de legiuitorul Uniunii însuşi, dar persoanele trebuie să fie capabile să înţeleagă în mod direct din actul legislativ care sunt limitele acestor drepturi drepturi şi libertăţi (inclusiv libertatea de exprimare, libertatea de stabilire) şi până unde pot fi ele restricţionate în interesul protecţiei datelor ori al liberei circulaţii a acestora.

Beneficiile pentru protecţia datelor şi libera circulaţie a acestora nu sunt suficiente pentru a justifica sarcina administrativă generată ori îndepărtarea dreptului de a lua decizii de individ. Dreptul Comisiei de a controla deciziile autorităţilor naţionale de protecţie a datelor pare a fi superfluu.

În vederea realizării obiectivelor regulamentului, este inutil a stabili în termeni atât de exacţi cuantumul sancţiunilor; pentru unele state membre, sancţiunile cu pricina (până la 1000.000 EUR) ar putea fi disproporţionate în raport cu sistemul general de sancţionare. Acest lucru ar putea duce la insolvenţa societăţilor.

Probleme similare rezultă şi din propunerea de directivă, având în vedere că dispoziţiile acesteia duc la armonizarea reglementărilor în materia dreptului procedural penal, domeniu care nu intra în competenţa Uniunii.

Autoritatea Europeană pentru Protecţia Datelor (AEPD) La 7 martie 2012 AEPD a emis un aviz cu privire la pachetul de reformă al Uniunii

Europene, formulând o serie de observaţii pe marginea ambelor propuneri legislative. Astfel, cu privire la propunerea de regulament, AEPD consideră că aceasta constituie un pas înainte pentru protecţia datelor în Europa, asigurând o consolidare a drepturilor persoanelor fizice, a competenţelor autorităţilor naţionale, dar şi o sporire a responsabilităţii operatorilor de date. Elementele negative ale propunerii de regulament sunt: noile excepţii de la principiul limitării scopului; posibilităţile de restrângere a principiilor şi drepturilor de bază; obligaţia operatorilor de a păstra documentele cu privire la toate operaţiunile de prelucrare; transferul de date către ţări terţe, prin derogare; rolul Comisiei în mecanismul pentru asigurarea coerenţei; caracterul obligatoriu al impunerii de sancţiuni administrative. Pe de altă parte, propunerea de directivă a fost criticată pentru faptul că oferă un nivel inadecvat de protecţie, mult inferior faţă de propunerea de regulament. În opinia AEDP, propunerea de directivă are un domeniu de aplicare mai larg decât actuala decizie-cadru, însă ea nu remediază lipsa caracterului cuprinzător al normelor UE privind protecţia datelor. Numeroase instrumente ale UE privind protecţia datelor rămân neschimbate, de exemplu normele privind protecţia datelor pentru instituţiile şi

17 

 

                                                           

organismele UE, dar şi toate instrumentele specifice adoptate în domeniul cooperării poliţieneşti şi judiciare în materie penală, cum ar fi decizia Prüm şi normele privind Europol şi Eurojust. De asemenea, instrumentele propuse, considerate împreună, nu ţin seama în totalitate de situaţiile reale care se înscriu în ambele domenii de politică, de exemplu utilizarea în scopuri de aplicare a legii a datelor din registrul cu numele pasagerilor (PNR) sau a datelor din telecomunicaţii.

Drept urmare, AEPD a făcut o serie de recomandări, atât cu privire la întregul proces de reformă, cât şi cu privire la cele două propuneri legislative, dintre care reţinem următoarele:

• necesitatea detalierii noţiunii de „interes public” în fiecare dintre dispoziţiile în care este utilizată;

• instituirea de măsuri adecvate şi specifice privind microîntreprinderile şi întreprinderile mici şi mijlocii exclusiv în acte de punere în aplicare selectate şi nu în actele delegate menţionate de propunerea de regulament;

• introducerea unei noi dispoziţii privind reprezentarea tuturor persoanelor fizice care nu au capacitatea (juridică) suficientă sau care sunt, din alte motive, incapabile să acţioneze;

• includerea în categoriile speciale de date a infracţiunilor şi faptelor care nu au condus la condamnări şi să extinderea cerinţei de control din partea autorităţii oficiale la toate motivele menţionate la articolul 9 alineatul (2) litera (j din propunerea de regulament;

• includerea la articolul 20 alineatul (2) litera (a) din propunerea de regulament a dreptului persoanelor fizice de a-şi expune punctul de vedere, la fel ca în actualul articol 15 din Directiva 95/46/CE;

• introducerea unor garanţii suplimentare cum ar fi informarea persoanelor vizate cu privire la o restricţie şi la dreptul acestora de a se adresa autorităţii de supraveghere pentru a obţine accesul indirect;

• includerea rolului parlamentelor naţionale în procedura de numire a membrilor autorităţilor de supraveghere;

• limitarea competenţei Comisiei, prin eliminarea posibilităţii de anulare a unei decizii a unei autorităţi naţionale de supraveghere, în legătură cu un aspect specific, printr-un act de punere în aplicare;

• introducerea în propunerea de directivă a unei noi dispoziţii prin care să se i impună operatorului să informeze fiecare destinatar căruia i-au fost divulgate datele cu privire la orice rectificare, ştergere sau modificare a datelor;

• includerea menţiunii că raportul de activitate anual al autorităţilor de supraveghere trebuie să fie prezentat parlamentului naţional şi să fie publicat;

• introducerea unui mecanism consolidat de cooperare şi în domeniul de aplicare al propunerii de directivă.12

 

12 Pentru detalii a se vedea: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_EN.pdf

18 

 

                                                           

Agenţia pentru Drepturi Fundamentale a Uniunii Europene (FRA) La 1 octombrie 2012, FRA a emis un aviz cu privire la cele două propuneri legislative ale

Uniunii, în cadrul căruia a făcut o serie de observaţii şi recomandări. În primul rând, aceasta a remarcat că atât regulamentul, cât şi directiva stabilesc liste de drepturi fundamentale care ar putea fi afectate de pachetul de reformă propus. Prin urmare, aceste liste ar trebui puse în acord, discrepanţele necesitând justificări din perspectiva specificităţii şi a domeniului de aplicare aparţinând fiecărui instrument. Totodată, propunerile Comisiei ar trebui să cuprindă o garanţie explicită cum că actele delegate şi de punere în aplicare nu vor limita drepturile fundamentale într-un mod contrar cartei.

Cu privire la transferul datelor către statele terţe, pentru care nu se prevede o decizie de adecvare, propunerile legislative în cauză conferă garanţii numai cu privire la protecţia datelor personale, nu şi a drepturilor fundamentale; de aceea, se impune introducerea unei dispoziţii care să garanteze în mod solid drepturile fundamentale în cadrul transferului de informaţii către statele terţe.

Comitetul Regiunilor

La 10 octombrie 2012, CoR a adoptat un aviz cu privire la pachetul legislativ în materia protecţiei datelor, subliniind cu acest prilej o serie de deficienţe ale propunerilor Comisiei, în special cele cu privire la conformitatea cu principiile subsidiarităţii şi proporţionalităţii arătate anterior. Cum era şi firesc, CoR a pus accentul asupra rezervelor a numeroase autorităţi locale şi regionale europene împotriva propunerilor de reglementare, care elimină, de exemplu, particularităţile naţionale în ceea ce priveşte protecţia datelor în domeniul social sau împovărează activitatea administraţiilor publice cu cerinţe privind protecţia datelor, cum ar fi dreptul la transferabilitatea datelor, care pot părea adecvate doar pentru procesele de prelucrarea datelor din sectorul economic şi care prevăd sancţiuni administrative severe, având în vedere resursele financiare de care dispun autorităţile locale. Totodată, acesta a recomandat ca prelucrarea de către organismele publice a datelor cu caracter personal şi prelucrarea datelor din domeniul legislaţiei muncii să fie excluse din domeniul de aplicare a regulamentului general, fiind de preferat ca acestea să fie reglementate prin directivă. Mai mult, CoR a făcut o serie de propuneri care vizează menţinerea marjelor de manevră ale legislatorilor naţionali, consolidarea răspunderii democratice, precum şi trasarea limitelor armonizării protecţiei datelor în domeniul poliţienesc şi judiciar.13

5. Evoluţii recente

a) Consiliul Uniunii Europene

Într-o notă a Preşedinţiei Consiliului din 3 decembrie 2012 se relevă faptul că, la reuniunea informală a miniştrilor JAI din iulie a.c. de la Nicosia, delegaţiile statelor membre au discutat cu precădere trei chestiuni problematice cuprinse în propunerea de regulament: actele delegate şi de punere în aplicare, sarcinile administrative impuse de proiectul de regulament şi aplicarea în sectorul public a normelor în materie de protecţie a datelor.

 13 Avizul Comitetului Regiunilor — Pachetul „Protecţia datelor” JO C 391/13, 18.12.2012.

19 

 

                                                           

Cu privire la competenţa Comisiei de a adopta acte delegate sau acte de punere în aplicare într-o serie de situaţii, marea majoritate a statelor membre s-au declarat împotriva acestora, astfel că însăşi Comisia a acceptat că regulamentul s-ar putea aplica şi fără competenţele delegate. În locul actelor delegate şi de punere în aplicare, Comitetul european pentru protecţia datelor ar putea emite orientări, recomandări şi bune practici pentru a asigura aplicarea coerentă a regulamentului de către autorităţile naţionale din domeniu.

Referitor la sarcinile administrative şi costurile de conformitate, Comisia a afirmat că propunerea sa de reformă va reduce sarcina administrativă asupra întreprinderilor cu 2,3 miliarde de euro. O serie de delegaţii naţionale au contestat această aserţiune din punct de vedere tehnic, arătând că perspectiva trebuie să fie una mai largă care să cuprindă nu doar sarcinile administrative, ci şi cheltuielile de conformitate generale, acestea din urmă depăşind orice economii care pot fi realizate conform propunerii. În acest sens, statele membre au convenit ca reforma în materia protecţiei datelor să urmeze o abordare bazată pe risc, în care obligaţiile operatorilor de date şi ale persoanele împuternicite de către operator să fie adaptate, în special, la tipul prelucrării şi al datelor prelucrate şi în funcţie de impactul lor asupra drepturilor şi libertăţilor persoanelor. În plus, un accent mai mare ar trebui să se pună pe responsabilitatea operatorilor, deoarece aceştia sunt cel mai bine plasaţi pentru a evalua riscurile implicate în anumite operaţiuni de prelucrare a datelor.

În privinţa aplicării reformei protecţiei datelor în sectorul public, delegaţiile statelor membre la Consiliul JAI din octombrie a.c. au convenit că regulamentul trebuie să asigure o flexibilitate mai mare în acest caz, pentru a permite o marjă de manevră adecvată pentru prelucrarea datelor la nivel naţional de către autorităţile statelor membre. A fost menţionată, de asemenea, necesitatea menţinerii unor norme naţionale specifice pentru prelucrarea de către autorităţile publice, astfel cum sunt reglementate de legislaţia naţională, consolidându-se totodată drepturile fundamentale ale cetăţenilor.14

b) Parlamentul European

Într-un document de lucru al Comisiei pentru libertăţi civile, justiţie şi afaceri interne din 9.10.2012 se arăta că, iniţial, Parlamentul a avut ca obiectiv adoptarea unui instrument cuprinzător unic privind protecţia datelor care să reglementeze întreaga problematică, însă Comisia Europeană a optat în final pentru două instrumente de legiferare, domeniul dreptului penal făcând obiectul directivei în cauză. Comisia parlamentară sus amintită a ţinut totuşi să precizeze că ar fi fost de preferat ca în locul directivei să se fi propus un regulament, deoarece nivelul de armonizare printr-o directivă este întotdeauna inferior şi ar putea duce la o transpunere neregulată fără a introduce o practică orizontală comună la nivelul statelor membre. În plus, nici conţinutul directivei nu poate atinge acelaşi nivel de protecţie ca regulamentul propus. Având în vedere şi poziţia critică a AEPD, Comisia pentru libertăţi civile, justiţie şi afaceri interne a subliniat că obiectivul declarat al reformei nu este atins pe deplin, iar lipsa caracterului cuprinzător nu a fost remediată. Mai mult, existenţa celor două instrumente juridice ridică întrebări justificate cu privire la aplicabilitatea practică a acestora în cooperarea între autorităţile de aplicare a legii şi sectorul privat sau alte entităţi publice. În final, în vederea asigurării securităţii juridice, comisia parlamentară a propus legiuitorului european să clarifice unele aspecte ce ţin de: justificarea excepţiilor de la principii; conţinutul principiilor protecţiei

 14 Pentru detalii a se vedea http://register.consilium.europa.eu/pdf/ro/12/st16/st16525-re01.ro12.pdf.

20 

 

                                                           

datelor (ex. transparenţă, actualizare, pertinenţă etc.); mecanismele de evaluare a necesităţii şi proporţionalităţii; slăbiciunea regimului propus pentru transferul de date către state terţe şi competenţele autorităţilor pentru protecţia datelor de monitorizare a aplicării normelor în materie.15

Proiectul de raport al Comisiei pentru libertăţi civile, justiţie şi afaceri interne, dat publicităţii la 16.01.2013, a reiterat o serie de obiecţii prezentate anterior, susţinând în acelaşi timp instituirea unui cadru legal unitar în materia protecţiei datelor. În acest context, raportorul desemnat a propus: limitarea rolului Comisiei la minimul necesar pentru punerea în aplicare, aspectele practice ale acesteia fiind lăsate în seama unui mecanism de cooperare între autorităţile de protecţie a datelor; utilizarea în continuare a măsurilor tehnologice de protecţie a datelor şi asigurare a conformităţii, concomitent cu stimulentele pentru controlorii de date care utilizează astfel de măsuri; consolidarea rolului responsabililor cu protecţia datelor în detrimentul consultării prealabile a autorităţilor de supraveghere; aplicarea noilor propuneri legislative şi instituţiilor, organismelor şi agenţiilor Uniunii.

Se preconizează că până la sfârşitul lunii aprilie parlamentul European îşi va exprima votul cu privire la pachetul legislativ în materia protecţiei datelor personale.

6. Jurisprudenţa Curţii de Justiţie a Uniunii Europene

Cauzele conexate C-317/04 şi C-318/04, Parlamentul European/ Consiliul şi Comisia16 Prin acţiunile introduse în faţa Curţii, Parlamentul European ceruse anularea a două decizii:

una a Consiliului cu privire la încheierea unui acord între Comunitatea Europeană şi Statele Unite ale Americii în privinţa prelucrării şi transferului datelor din registrul nominal al pasagerilor şi o decizie a Comisiei cu privire la protecţia adecvată a datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate către Biroul vamal.

În privinţa deciziei Comisiei, Parlamentul şi-a susţinut cauza invocând excesul de putere, încălcarea principiilor esenţiale ale directivei, încălcarea drepturilor fundamentale şi încălcarea principiului proporţionalităţii. Cu alte cuvinte, Comisia ar fi acţionat ultra vires, întrucât activitatea transportatorilor aerieni excede domeniul de competenţă a dreptului [Uniunii].

Curtea a apreciat că, într-adevăr, art. 3 alin. 2 din Directiva 95/46/CE exclude din domeniul său de aplicare prelucrarea datelor cu caracter personal, pusă în aplicare pentru exercitarea activităţilor care nu intră în domeniul de aplicare a dreptului [Uniunii], precum cele prevăzute la titlurile V şi VI din Tratatul privind Uniunea Europeană17 şi, în orice caz, prelucrările care au ca obiect siguranţa publică, apărarea, securitatea statului şi activităţile statului în legătură cu domenii ale dreptului penal. Or, decizia Comisiei viza transferul datelor cuprinse în registrul nominal al pasagerilor către Biroul vamal şi de protecţie a frontierelor Statelor Unite ale Americii, stabilind că aceste date trebuie utilizate cu scopul unic de a preveni şi de a combate terorismul, crimele legate de terorism, alte infracţiuni grave care includ crima organizată (aceasta din urmă având, prin natura sa, un caracter transnaţional), precum şi fuga în caz de mandat de arestare sau de detenţie pentru una dintre infracţiunile susmenţionate.

 15 Pentru detalii a se vedea http://www.europarl.europa.eu/committees/ro/libe/working-documents.html#menuzone. 16 Repertoriul jurisprudenţei 2006 I-04721. 17 Domeniile PESC şi JAI.

21 

 

                                                           

Prin urmare, prelucrarea datelor nu avea ca obiect realizarea unei prestări de servicii, ci securitatea publică şi activităţile statului legate de domenii ale dreptului penal, motiv pentru care instanţa europeană a decis anularea deciziei în cauză.

Cu privire la decizia Consiliului de încheiere a unui acord cu Statele Unite în privinţa prelucrării şi transferului de date, Parlamentul European a invocat şase motive de anulare: alegerea eronată a articolului 95 CE18 ca temei juridic al deciziei, încălcarea articolului 300 alineatul (3) al doilea paragraf CE19, a articolului 8 din CEDH20, a principiului proporţionalităţii, a obligaţiei de motivare şi a principiului cooperării loiale. Referitor la temeiul juridic, într-adevăr decizia cu pricina nu avea ca scop stabilirea şi funcţionarea pieţei interne în vederea eliminării obstacolelor în calea libertăţii de prestare a serviciilor şi nici nu conţinea dispoziţii care să urmărească realizarea unui astfel de scop. Adevăratul scop era legalizarea prelucrării datelor cu caracter personal prevăzute de legislaţia Statelor Unite. Curtea a stabilit în final că art. 95 CE a fost în mod eronat ales ca temei juridic pentru competenţa [Uniunii] de a încheia acordul, deoarece acesta din urmă viza prelucrări de date excluse din domeniul de aplicare a directivei. Pe cale de consecinţă, fără a mai analiza celelalte argumente invocate de Parlament, Curtea a dispus anularea deciziei în cauză.

Precizăm că aceste neajunsuri cu privire la competenţa dreptului Uniunii au fost parţial remediate prin introducerea unor noi articole în urma reformării tratatelor la Lisabona, respectiv art. 39 TUE care instituie pentru Consiliu dreptul de a adopta o decizie de stabilire a normelor privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către statele membre, în exercitarea activităţilor care fac parte din domeniul de aplicare a politicii externe şi de securitate comune, precum şi a normelor privind libera circulaţie a acestor date. Acest articol constituie o derogare de la art. 16 alin. (2) TFUE, în baza căruia Parlamentul European şi Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc normele privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi de către statele membre în exercitarea activităţilor care fac parte din domeniul de aplicare a dreptului Uniunii, precum şi normele privind libera circulaţie a acestor date. În acest fel, măsurile Uniunii în domeniul protecţiei datelor personale beneficiază de un temei juridic special consacrat în tratate. Reţinem însă că securitatea naţională aparţine în continuare competenţei exclusive a statelor membre, lucru de care noua propunere de directivă a Comisiei în materia protecţiei datelor a ţinut seama.21

 18 Art. 114 TFUE. 19 Art. 218 TFUE. 20 Cu privire la dreptul la respectarea vieţii private şi de familie. 21 Art. 2 alin. 3 punctul (a) stabileşte că directiva nu se aplică prelucrării datelor cu caracter personal în cadrul unei activităţi care nu intră în sfera dreptului Uniunii, în ceea ce priveşte, mai ales, securitatea naţională;

22 

 

                                                           

Cauza C-73/07, Tietosuojavaltuutettu /Satakunnan Markkinapörssi şi Satamedia22

Cererea adresată Curţii a avut ca obiect pronunţarea unei hotărâri preliminare, pe baza interpretării Directivei 95/46/CE, în cadrul unui litigiu între mediatorul pentru protecţia datelor şi comisia pentru protecţia datelor din Finlanda, privind activităţile de prelucrare a datelor cu caracter personal exercitate de unele societăţi de media. Şi cu acest prilej, Curtea a lămurit încă o dată domeniul de aplicare a directivei în cauză, arătând că aceasta nu se aplică prelucrărilor de date puse în practică în vederea exercitării unor activităţi care exced competenţa dreptului [Uniunii], cum ar fi Titlurile V şi VI din TUE şi, în orice caz, prelucrărilor care au ca obiect siguranţa publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) şi activităţile statului în domeniul dreptului penal. De data aceasta, de interes pentru lucrarea de faţă este interpretarea dată de Curte art. 9 din directivă cu privire la derogările permise statelor, prin care instanţa europeană a arătat că dreptul la viaţă privată nu este unul absolut şi, ca atare, nu trebuie să se opună altor drepturi fundamentale, cum ar fi dreptul la liberă exprimare. Statelor membre le revine însă sarcina de a asigura această compatibilitate între drepturile fundamentale, reglementând anumite derogări sau limitări de la protecţia datelor. Scopurile derogărilor trebuie să fie însă inerente dreptului fundamental ocrotit (libera exprimare), dar şi strict necesare asigurării echilibrului.

Într-o cauză şi mai recentă, Curtea a dat o soluţie similară, de data aceasta cu privire la drepturile de proprietate intelectuală, arătând că nici din Carta drepturilor fundamentale a Uniunii Europenei, nici din jurisprudenţa Curţii nu rezultă că un astfel de drept ar fi intangibil şi că, prin urmare, protecţia sa ar trebui să fie asigurată în mod absolut. Şi cu acest prilej, Curtea a reiterat obligaţia autorităţilor şi instanţelor naţionale de a asigura un just echilibru între drepturile şi libertăţile fundamentale.23

Cauza C-518/07, Comisia/Germania24

Prin cererea adresată Curţii, Comisia solicita acesteia să constate că Germania nu şi-a îndeplinit obligaţiile care îi reveneau în temeiul Directivei 95/46/CE, trecând în subordinea statului autorităţile competente cu supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public din diferitele landuri, transpunând, în mod eronat, cerinţa de „independenţă deplină” a autorităţilor responsabile de garantarea protecţiei acestor date.

Această cauză prezintă interes din perspectiva lămuririi conceptului de independenţă a autorităţilor de supraveghere, dar şi din aceea a evaluării acestei cerinţe (instituite prin Directiva 95/46/CE) prin raportare la alte principii de drept, cum ar fi acela al democraţiei, consfinţit atât în constituţiile naţionale ale statelor membre, cât şi în tratatele constitutive ale Uniunii Europene.

 22 Repertoriul jurisprudenţei 2008 I-09831. 23 În speţă libertatea de a desfăşura o activitate comercială şi dreptul persoanelor la protecţia datelor: a se vedea cauza C-70/10, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM),din 24 noiembrie 2011, nepublicată încă. 24 Repertoriul jurisprudenţei 2010 I-01885.  

23 

 

                                                           

Astfel, Curtea a argumentat, contrar poziţiei Republicii Federale Germania, că independenţa nu se referă numai la relaţia dintre autorităţile de supraveghere şi organismele supuse supravegherii acestora, ci ea implică o putere de decizie protejată de orice influenţă exterioară autorităţii de supraveghere, indiferent dacă aceasta este directă sau indirectă. Autorităţilor naţionale în materie li se garantează independenţa în scopul dobândirii eficienţei şi fiabilităţii procesului de supraveghere a respectării dispoziţiilor în domeniul protecţiei persoanelor fizice. Prin urmare, legiuitorul european nu a urmărit instituirea unui statut special pentru aceste autorităţi, ci consolidarea protecţiei persoanelor şi organismelor în cauză.

Pe de altă parte, Republica Federală Germania a arătat că interpretarea în sens larg a cerinţei de independenţă ar duce la încălcarea principiului democraţiei, care impune o supunere a administraţiei la instrucţiunile guvernului, responsabil în faţa parlamentului. În acest sens, Curtea a argumentat că principiul democraţiei nu se opune existenţei unor autorităţi publice situate în afara administraţiei ierarhizate clasice şi mai mult sau mai puţin independente faţă de guvern. Mai mult, funcţionarea acestor autorităţi este reglementată prin lege şi supusă controlului instanţelor competente, iar parlamentele naţionale sau guvernele naţionale au posibilitatea să numească persoanele din conducerea acestor autorităţi de supraveghere. Nu în ultimul rând, parlamentele naţionale pot impune autorităţilor de supraveghere să prezinte rapoarte de activitate. De asemenea, în opinia Germaniei, independenţa autorităţilor de supraveghere în raport cu autorităţile administrative superioare ar fi încălcat principiul atribuirii de competenţe, deoarece [Uniunea] şi-ar fi depăşit competenţele atunci când a adoptat directiva în cauză, în baza reglementărilor de drept primar privind apropierea actelor cu putere de lege şi a actelor administrative ale statelor membre care au ca obiect instituirea şi funcţionarea pieţei comune. În acest sens, Curtea a arătat că independenţa deplină a autorităţilor de supraveghere este esenţială pentru şi proporţională cu scopul creării, în toate statele membre, a unui nivel ridicat de protecţie a persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, contribuind astfel la libera circulaţie a acestor date, necesară instituirii şi funcţionării pieţei interne.25

În concluziile avocatului general Ján Mazák la speţa în cauză s-a susţinut însă că acţiunea Comisiei ar fi trebuit respinsă, deoarece aceasta din urmă nu a dovedit consecinţele negative ale tutelei cu privire la exercitarea în condiţii de independenţă deplină a atribuţiilor autorităţilor de supraveghere. Or, potrivit  jurisprudenţei Curţii, în cadrul unei proceduri în constatarea neîndeplinirii obligaţiilor iniţiate în temeiul articolului 226 CE, revine Comisiei obligaţia de a stabili existenţa pretinsei neîndepliniri a obligaţiilor, fără a se putea întemeia pe vreo prezumţie. În plus, conceptul de „independenţă deplină” îşi păstrează calitatea de a fi relativ şi nu poate fi confundat cu lipsa oricărei posibilităţi de supraveghere. Curtea nu a ţinut seama de aceste argumente, constatând în final că Republica Federală Germania nu şi-a îndeplinit obligaţiile conform dispoziţiilor directivei.

 25 O hotărâre similară a fost dată de Curte şi în cauza C-614/10, Comisia / Austria, din 16 octombrie 2012, nepublicată încă.

24 

 

                                                           

7. Autoritatea Europeană pentru Protecţia Datelor – priorităţi 2013-2014

Într-un document dat publicităţii la 18 ianuarie 2013, AEPD, în calitate de organism consultativ al Uniunii, a prezentat succint principalele domenii asupra cărora îşi va concentra atenţia în 2013. Lista nu este una exhaustivă şi cuprinde: noul cadru legislativ pentru protecţia datelor (propunerile care vizează regulamentul general pentru protecţia datelor şi directiva în materia justiţiei penale, dar şi propunerile care vor urma, în special cele cu privire la protecţia datelor în cadrul instituţiilor şi organismelor Uniunii); dezvoltările tehnologice şi Agenda Digitală, drepturile IP şi monitorizarea internetului (criminalitatea informatică, securitatea informatică, cloud computing); continuarea reformelor în domeniul spaţiului de libertate, securitate şi justiţie (reforma Eurojust, reforma Europol, pachetul privind „frontierele inteligente”, acordurile cu statele terţe în materia protecţiei datelor); supravegherea pieţelor şi actorilor financiari (supravegherea bancară, măsurile împotriva spălării banilor); domeniul e-sănătate (propunerile privind studiile clinice şi instrumentele medicale).

Pentru a-şi îndeplini cât mai bine rolul consultativ, AEPD îşi propune ca în cursul anului 2013 să elaboreze noi orientări cu privire la fenomenele tehnice sau sociale importante care afectează protecţia datelor personale ori cu privire la aspectele recurente legate de protecţia datelor aparţinând iniţiativelor legislative ale Uniunii (cum ar fi acelea din domeniul supravegherii financiare). În acest sens, AEPD are în vedere instituirea unui instrumentar de protecţie a datelor pentru legiuitori, care să cuprindă principiile de bază şi criteriile, dar şi organizarea de sesiuni de lucru cu personalul implicat în elaborarea proiectelor de lege. De asemenea, AEPD preconizează elaborarea de avize prospective cu privire la integrarea protecţiei datelor personale în alte domenii de politică a UE, cum ar fi concurenţa şi comerţul.26 Întocmit de: Mihaela BANU La data de: 30 ianuarie 2013

 26 Pentru detalii a se vedea http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Priorities/13-01-18_EDPS_Inventory_2013_Note_EN.pdf şi http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Strategy/13-01-22_Strategy_EN.pdf.